Sikkerhedsvurdering: Rediger forkert konfigurerede certifikatskabeloner ACL (ESC4)
I denne artikel beskrives Microsoft Defender for Identity's ACL-rapport over vurdering af sikkerhed på Microsoft Defender for Identity certifikatskabelon.
Hvad er en forkert konfigureret certifikatskabelon ACL?
Certifikatskabeloner er Active Directory-objekter med en ACL, der styrer adgangen til objektet. Ud over at bestemme tilmeldingstilladelser bestemmer ACL'en også tilladelser til redigering af selve objektet.
Hvis der af en eller anden grund er en post i ACL'en, der giver en indbygget, ikke-tildelt gruppe med tilladelser, der tillader ændringer af skabelonindstillinger, kan en modstander introducere en forkert konfiguration af skabelonen, eskalere rettigheder og kompromittere hele domænet.
Eksempler på indbyggede, ikke-tildelte grupper er Godkendte brugere, Domænebrugere eller Alle. Eksempler på tilladelser, der tillader ændringer af skabelonindstillinger, er Fuld kontrol eller Skriv DACL.
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actions for at få vist en forkert konfigureret ACL-certifikatskabelon. Det kan f.eks. være:
Undersøg, hvorfor skabelon-ACL'en kan være konfigureret forkert.
Du kan løse problemet ved at fjerne alle poster, der giver gruppetilladelser, der ikke er tildelt nogen rettigheder, som tillader indgreb i skabelonen.
Fjern certifikatskabelonen fra at blive publiceret af et nøglecenter, hvis de ikke er nødvendige.
Sørg for at teste dine indstillinger i et kontrolleret miljø, før du aktiverer dem i produktionen.
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.